第 3 步:配置第 7 层 DDoS 缓解 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 3 步:配置第 7 层 DDoS 缓解

建议您添加带有基于速率的规则的 Web ACL 作为Amazon Shield Advanced保护。这些规则会在出现流量陡增、可能提示潜在 DDoS 事件的情况时提醒您。基于速率的规则会统计在任何一个 5 分钟的时段内从任何单个地址收到的请求。如果请求数量超出您定义的限制,则规则会触发一项操作,例如,向您发送通知。有关基于速率的规则的更多信息,请参阅 Amazon WAF 的工作原理

注意

如果您将Amazon Firewall Manager创建 Firewall Manager 防 Shield 高级策略,请不要执行此步骤。Firewall Manager 不支持基于速率的规则。

为区域配置第 7 层 DDoS 缓解

Shield Advanced 允许您选择的资源所在的每个区域配置第 7 层 DDoS 缓解。对每个操作系统执行以下过程。

  1. 配置第 7 层 DDoS 缓解页面上,对于每个没有与 Web ACL 关联的资源,选择一个现有的 Web ACL 或另外创建一个新的 Web ACL。

    要创建 Web ACL,请执行以下操作:

    1. 选择 Create web ACL (创建 Web ACL)

    2. 输入名称。Web ACL 在创建之后无法更改名称。

    3. 选择创建

    注意

    如果资源已与一个 Web ACL关联,则不能更改为其他 Web ACL。如果要更改 Web ACL,您必须先从资源中删除关联的 Web ACL。有关更多信息,请参阅将 Web ACL 与关联或取消关联Amazon资源

  2. 对于每个没有定义基于速率的规则的关联 Web ACL,您可以通过选择添加速率限制规则,然后执行以下步骤:

    1. 输入名称。

    2. 输入速率限制。这是允许通过单个 IP 地址在 5 分钟内发出的请求的最大数量。当来自 IP 地址的请求低于限制时,操作将停止。

    3. 将规则操作设置为在 IP 地址的请求计数超过限制时对 IP 地址的请求进行统计或阻止。规则操作的应用和删除可能会在 IP 地址请求速率更改后一两分钟生效。

    4. 选择 Add rule

  3. 选择 Next (下一步)

在不添加 Web ACL 或基于速率的规则的情况下继续操作

  • 选择 Next (下一步)

    重要

    如 Shield 您在Amazon Firewall ManagerShield 高级策略,您无法添加 Web ACL 或基于速率的规则。对于所有其他资源,我们建议至少为每个资源关联一个 Web ACL,即使该 Web ACL 不包含任何规则。

现在可转至第 4 步:查看和配置您的设置